Determina filtros de eventos para los registros de auditoría de Cloud

Un activador de Eventarc declara tu interés en un evento o conjunto de eventos determinado. En el caso de los registros de auditoría de Cloud, los activadores se aplican cuando se crea un registro de auditoría que coincide con los criterios de filtro del activador, lo que te permite capturar eventos específicos y reaccionar ante ellos.

Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta Servicios de Google con registros de auditoría.

Para obtener una lista de los eventos de registro de auditoría compatibles con Eventarc, incluidos los valores serviceName y methodName, consulta Eventos compatibles con Eventarc.

.

A fin de identificar los filtros de eventos exactos necesarios para crear un activador, genera el evento que deseas capturar y, luego, visualiza su entrada de registros de auditoría de Cloud correspondiente. Ten en cuenta que los datos de una entrada de registro pueden dividirse y distribuirse en varias entradas.

1. Asegúrate de haber habilitado los tipos de registros de auditoría de acceso a los datos para tu servicio.

   Ir a Registros de auditoría

   Ten en cuenta que no se enumera ningún servicio que tenga habilitada la auditoría de forma predeterminada.

   1. En la tabla principal de la página Registros de auditoría, selecciona un servicio de Google Cloud desde la columna Título.

   2. En la pestaña Tipo de registro, selecciona las casillas de verificación Lectura de administración, Lectura de datos y Escritura de datos. A continuación, haz clic en Guardar.

2. Realiza la operación para la que deseas crear un filtro de eventos y genera una entrada de registro de auditoría. Por ejemplo, almacena un archivo en un bucket de Cloud Storage.

3. En la consola de Google Cloud, ve a la página Explorador de registros.

   Ir al Explorador de registros

4. En el panel Compilador de consultas, crea y ejecuta una consulta para filtrar las entradas de registro y recuperar los resultados. Por ejemplo:

   resource.type="gcs_bucket" resource.labels.bucket_name="eventarc-bucket"
   

   Para obtener más detalles sobre cómo compilar consultas para recuperar y definir mejor los registros, visita Compila consultas de registros.

5. Para ver los detalles completos de una entrada de registro, haz clic en la flecha desplegable (▸) al comienzo de la entrada.

   El campo protoPayload distingue una entrada de registro de auditoría de otras entradas de registro. En el siguiente ejemplo, se omiten algunas partes de la entrada de registro y se destacan algunos campos:

   {
      protoPayload:{
         @type:"type.googleapis.com/google.cloud.audit.AuditLog",
         status:{},
         authenticationInfo:{},
         requestMetadata:{},
         serviceName:"storage.googleapis.com",
         methodName:"storage.objects.create",
         authorizationInfo:[],
         resourceName:"projects/_/buckets/eventarc-bucket/objects/random.txt",
         resourceLocation:{}
      },
      insertId:"il9evleafpdk",
      resource:{
         type:"gcs_bucket",
         labels:{
            project_id:"cloud-run-test",
            location:"us-central1",
            bucket_name:"eventarc-bucket"
         }
      },
      timestamp:"2021-03-05T15:55:20.754688805Z",
      severity:"INFO",
      logName:"projects/cloud-run-test/logs/cloudaudit.googleapis.com%2Fdata_access",
      receiveTimestamp:"2021-03-05T15:55:20.884984611Z"
   }
   

   • La siguiente información se puede usar para verificar el contenido de esta entrada de registro de auditoría:

     • El campo protoPayload.@type es type.googleapis.com/google.cloud.audit.AuditLog.

     • El campo logName incluye el dominio cloudaudit.googleapis.com.

   • El campo protoPayload.serviceName es el servicio que escribió el registro de auditoría.

   • El campo protoPayload.methodName es la operación que se audita.

   • El campo protoPayload.resourceName es el recurso que se audita.

   Para obtener más detalles sobre cómo encontrar información en una entrada de registro de auditoría, consulta Información sobre los registros de auditoría.

Divide los registros de auditoría de Cloud

Cloud Logging divide las entradas de registro de auditoría individuales que superan el límite de tamaño de 512 KB y distribuye los datos contenidos en la entrada de registro de auditoría original en varias entradas de registro split. El campo split es un objeto LogSplit que contiene la información necesaria para identificar entradas de registro divididas relacionadas.

Cada protoPayload de las entradas divididas incluirá los mismos valores serviceName, methodName y resourceName para ayudar a filtrar los eventos de registros de auditoría de Cloud. Los activadores de Eventarc entregarán un evento para cada entrada de registro dividida.

Cuando tienes una entrada de registro de auditoría que se divide en varias entradas de registro, puedes filtrar cualquiera de los campos en LogEntry. Por ejemplo, si necesitas la primera entrada de una entrada de registro dividida, puedes ejecutar el siguiente comando de la CLI de gcloud y usar split.index para indicar la posición de la entrada en la serie de entradas divididas. (La primera entrada de la división tiene el índice 0):

    gcloud logging read "split.index=0"

Para obtener más información sobre las entradas de registro divididas, lo que incluye cómo reconocer entradas y consultas de muestra, consulta Divide las entradas de registro de auditoría.

¿Qué sigue?

• Comienza a usar Eventarc con las guías de inicio rápido
• Más información sobre cómo crear un activador
• Comprende las ubicaciones de Eventarc